利用PHP编程防范XSS跨站脚本攻击

zliyt

国内不少论坛都存在跨站脚本漏洞，国外也很多这样的例子，甚至Google也出现过，不过在12月初时修正了。(编者注：关于跨站脚本漏洞攻击，读者可参阅《》)。跨站攻击很容易就可以构造，而且非常隐蔽，不易被查觉（通常盗取信息后马上跳转回原页面）。

如何攻击，在此不作说明（也不要问我），主要谈谈如何防范。首先，跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的，所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等，可以使用htmlentities()。

＜?PHP
$str="A'quote'is＜b＞bold＜/b＞";

//Outputs:A'quote'is<b>bold</b>
echohtmlentities($str);

//Outputs:A'quote'is<b>bold</b>
echohtmlentities($str,ENT_QUOTES);
?＞
这样可以使非法的脚本失效。

但是要注意一点，htmlentities()默认编码为ISO-8859-1，如果你的非法脚本编码为其它，那么可能无法过滤掉，同时浏览器却可以识别和执行。这个问题我先找几个站点测试后再说。

这里提供一个过滤非法脚本的函数：

functionRemoveXSS($val){
　//removeallnon-printablecharacters.CR(0a)andLF(0b)andTAB(9)areallowed
　//thispreventssomecharacterre-spacingsuchas＜java/0script＞
　//notethatyouhavetohandlesplitswith/n,/r,and/tlatersincethey*are*allowedinsomeinputs
　$val=preg_replace('/([/x00-/x08][/x0b-/x0c][/x0e-/x20])/','',$val);

　//straightreplacements,theusershouldneverneedthesesincethey'renormalcharacters
　//thispreventslike＜IMGSRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&
  _#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29＞
　$search='abcdefghijklmnopqrstuvwxyz';
　$search.='ABCDEFGHIJKLMNOPQRSTUVWXYZ';
　$search.='1234567890!@#$%^&*()';
　$search.='~`";:?+/={}[]-_|/'//';
　for($i=0;$i＜strlen($search);$i++){
//;?matchesthe;,whichisoptional
//0{0,7}matchesanypaddedzeros,whichareoptionalandgoupto8chars

//&#x0040@searchforthehexvalues
$val=preg_replace('/(&#[x|X]0{0,8}'.dechex(ord($search[$i])).';?)/i',$search[$i],$val);//witha;
//&#00064@0{0,7}matches'0'zerotoseventimes
$val=preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/',$search[$i],$val);//witha;
　}

　//nowtheonlyremainingwhitespaceattacksare/t,/n,and/r
　$ra1=Array('javascript','vbscript','expression','applet','meta','xml','blink','link','style','script','embed','object','iframe','frame','frameset','ilayer','layer','bgsound','title','base');
$ra2=Array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate','onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange','onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick','ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate','onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete','onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel','onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart','onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop','onsubmit','onunload');
　$ra=array_merge($ra1,$ra2);

　$found=true;//keepreplacingaslongasthepreviousroundreplacedsomething
　while($found==true){
$val_before=$val;
for($i=0;$i＜sizeof($ra);$i++){
　$pattern='/';
　for($j=0;$j＜strlen($ra[$i]);$j++){
  if($j＞0){
  　$pattern.='(';
  　$pattern.='(&#[x|X]0{0,8}([9][a]);?)?';
  　$pattern.='|(&#0{0,8}([9][10][13]);?)?';
  　$pattern.=')?';
  }
　$pattern.=$ra[$i][$j];
}
$pattern.='/i';
$replacement=substr($ra[$i],0,2).'＜x＞'.substr($ra[$i],2);//addin＜＞tonerfthetag
$val=preg_replace($pattern,$replacement,$val);//filteroutthehextags
if($val_before==$val){
　//noreplacementsweremade,soexittheloop
　$found=false;
}
　}
}
}